El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) entró en vigor el pasado 25 de mayo

¿Sabes cuáles son sus puntos clave?

  1. Nueva gestión de los tratamientos: ahora no es necesario notificar los tratamientos a la Agencia Española de Protección de Datos. Se debe  llevar internamente un registro de actividades de tratamiento.
  2. Categorías especiales de datos: se incluyen también los datos genéticos y biométricos.
  3. Base jurídica de los tratamientos: el consentimiento no será ya la causa principal de legalización de los tratamientos, sino que además podrán realizarse por habilitación legal, ejecución de un contrato, en interés vital de interesado o por interés legítimo del responsable. De basarse en el consentimiento, pasa a ser expreso si se solicita una acción afirmativa o declaración expresa.
  4. Privacidad por diseño: supone tener presente a la privacidad durante todo el ciclo de vida del dato, desde antes de su obtención hasta su destrucción.
  5. Privacidad por defecto: supone obtener y tratar sólo aquellos datos necesarios para cumplir con la finalidad del tratamiento.
  6.  Enfoque basado en el riesgo: los responsables de tratamiento deberán adoptar las medidas necesarias  para reducir o eliminar los riesgos para los interesados en relación con el tratamiento de sus datos.
  7. Responsabilidad proactiva o accountability: el responsable de tratamiento debe cumplir con las obligaciones del RGPD y ser capaz de demostrarlo por lo que la documentación y trazabilidad son necesarios.
  8. Delegado de protección de datos: las administraciones públicas deberán nombrar un DPD con carácter obligatorio cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala, y cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o datos de condenas y sanciones penales. El Proyecto de Ley Orgánica de Protección de Datos de aprobarse en los términos actuales, permitirá que cuando exista DPD, la Agencia Española de Protección de Datos les pase durante un mes las reclamaciones que presenten los interesados para que intente dar solución a la misma. De no conseguirlo continuará el procedimiento sancionador o de tutela de derechos pertinente.
  9. Evaluaciones de impacto en protección de datos: los tratamientos que impliquen un riesgo para los datos personales de los interesados requerirán una previa  evaluación de impacto. En concreto estos datos hacen referencia al tratamiento a gran escala de datos como las categorías especiales de datos y datos de condenas y sanciones penales, la evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar y la observación sistemática a gran escala de una zona de acceso público.
  10. Notificación de violaciones de seguridad de los datos personales: se deberán notificar aquellas violaciones que afecten a la confidencialidad, integridad o disponibilidad de los datos personales a la Agencia Española de Protección de Datos cuando exista un riesgo para los interesados. Si ese riesgo es muy elevado, se les deberá notificar a estos salvo que se hubieran tomado medidas previas que imposibilitarán el acceso de la información a terceros como el cifrado o se tomen medidas posteriores que eliminen ese alto riesgo.
Asesores Gesgroup Lanzarote
Share
This